O serviço XML-RPC foi desativado por padrão por mais tempo, principalmente por motivos de segurança. Neste artigo, mostraremos como desabilitar XML-RPC no WordPress e falaremos mais sobre a decisão de habilitá-lo por padrão.
O que é XML-RPC?
De acordo com a Wikipedia, XML-RPC é uma chamada de procedimento remoto que usa XML para codificar suas chamadas e HTTP como mecanismo de transporte. Resumindo, é um sistema que permite que você poste em seu blog WordPress usando clientes de weblog populares como o Windows Live Writer. Também é necessário se você estiver usando o aplicativo móvel WordPress. Também é necessário se você quiser fazer conexões com serviços como o IFTTT.
Se você deseja acessar e publicar em seu blog remotamente, precisa ter o XML-RPC habilitado.
No passado, havia problemas de segurança com XML-RPC, portanto, ele era desabilitado por padrão. Em seu comentário sobre o assunto, @nacin um dos principais contribuidores do WordPress disse:
Com o aumento do uso do celular, essa mudança era iminente. No entanto, algumas pessoas cautelosas com a segurança podem dizer que, embora a segurança do XML-RPC não seja um grande problema, ele ainda fornece uma superfície adicional para ataque se uma vulnerabilidade for encontrada. Portanto, mantê-lo desativado faria mais sentido.
Para deixar todos felizes, embora a opção da interface do usuário e a opção do banco de dados para desligar o XML-RPC tenham sido removidas, há um filtro que você pode usar para desligá-lo, se necessário.
Como desativar XML-RPC no WordPress
Tudo que você precisa fazer é colar o seguinte código em um plugin site-específico:
add_filter('xmlrpc_enabled', '__return_false');
Alternativamente, você pode simplesmente instalar o plugin chamado Disable XML-RPC . Tudo que você precisa fazer é ativá-lo. Ele faz exatamente a mesma coisa que o código acima.
Como desativar o WordPress XML-RPC com .htaccess
Embora a solução acima seja suficiente para muitos, ainda pode consumir muitos recursos para sites que estão sendo atacados.
Nesses casos, você pode desabilitar todas as solicitações xmlrpc.php
do arquivo .htaccess
antes mesmo de a solicitação ser passada para o WordPress.
Basta colar o seguinte código em seu arquivo .htaccess
:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all allow from 123.123.123.123 </Files>
Como não usamos nenhum aplicativo móvel ou conexões remotas para publicar no Império WP, estaremos desabilitando o XML-RPC por padrão. Quais são seus pensamentos sobre o assunto?